image

Telegram biedt versleutelde opslag van identiteitsbewijzen

zaterdag 28 juli 2018, 08:33 door Redactie, 23 reacties

Chatdienst Telegram heeft een nieuwe feature geïntroduceerd die gebruikers hun paspoort, identiteitskaart of rijbewijs versleuteld in de Telegram-cloud laat opslaan. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen.

Telegram-gebruikers kunnen de Passport-optie vanuit Telegram selecteren. Vervolgens moet worden aangegeven of men een afbeelding van het paspoort, rijbewijs of identiteitskaart gaat uploaden. De identiteitsbewijzen en persoonlijke gegevens worden end-to-end versleuteld in de Telegram-cloud opgeslagen, zo laat de chatdienst weten. Voor de versleuteling wordt gebruik gemaakt van het wachtwoord van de gebruiker. Telegram zegt dat het geen toegang tot opgeslagen identiteitsbewijzen heeft.

Op dit moment wordt registratie en verificatie via Telegram Passport ondersteund door ePayments.com. Telegram hoopt echter dat meer ontwikkelaars de feature voor het identificeren van gebruikers gaan integreren. Telegram is van plan om binnenkort third-party verificatie voor Telegram Passport toe te voegen. Op deze manier hoeven sommige diensten de data zelf niet op te vragen, maar vertrouwen dan op het feit dat het Telegram-account door een verificatieprovider is goedgekeurd en het om een echt persoon gaat. Verder laat de chatdienst weten dat in de toekomst alle Telegram Passport-data in een gedecentraliseerde cloud zal worden opgeslagen.

Reacties (23)
28-07-2018, 08:35 door Anoniem
Lijkt me geen goed idee.
Het is toch Russisch bedrijf(geld ook voor Americaanse).
28-07-2018, 08:47 door Bitwiper
What are they smoking?!

Hoe kan een scan van een identiteitsbewijs enige waarde hebben? Zodra instanties/organisaties (inclusief canpings, hotels en bed&breakfasts die een scan vereisen) zo'n plaatje in hun computer(s) hebben en een foute medewerker hebben of worden gehacked (en dat gebeurt vaak in die branche), kunnen anderen zo'n plaatje naar hun Telegram uploaden en claimen dat zij jou zijn.

Wat een krankzinnig ondoordacht idee van een club die claimt jouw privacy hoog in het vaandel te hebben.
28-07-2018, 10:40 door Anoniem
Ziet er meer uit als een marketings plan om ergens winst te halen zodat telegram kan blijven bestaan. Niks mis mee, zolang het maar vrijblijvend is.
28-07-2018, 11:08 door karma4
Door Bitwiper: ..Hoe kan een scan van een identiteitsbewijs enige waarde hebben? ...
Je hebt gelijk. Het doel is te bewijzen dat de persoon voor je en het identiteitsbewjis bij elkaar horen en dat het om een valide identiteitsbewijs gaat.
Het eerste kan je proberen (nooit 100%) te bereiken door biometrie gezichtsherkenning vingerafdruk wat maar mogelijk en betrouwbaar is.
Het tweede kun je proberen door het aan een centrale database te koppelen of het nummer echt geldig is met de daarbij horende gegevens centraal en lokaal.

Al het andere zoals blokchain en "niemand mag weten wie je bent" is een faal in het niet erkennen van de genoemde eisen.
28-07-2018, 12:14 door Anoniem
Door Bitwiper: What are they smoking?!
[...]
Wat een krankzinnig ondoordacht idee van een club die claimt jouw privacy hoog in het vaandel te hebben.
In Nederland hebben we zelfs notarissen die online diensten aanbieden en je daarbij om een scan van je identiteitsbewijs per e-mail vragen en zelfs geen upload-mogelijkheid daarvoor op hun keurig van https voorziene website bieden. Zelfs in die beroepsgroep ontbreekt het besef dat al die hi-tech echtheidskenmerken in een fraudebestendig identiteitsbewijs niet meer aanwezig zijn in een scan.

Of zit het toch iets anders? Vergelijk het met hoe er met ouderwetse handtekeningen wordt omgesprongen. Bewijzen die iets? Die bevatten geen hi-tech echtheidskenmerken. Je mag vandaag besluiten je handtekening te vervangen en die is dan net zo geldig als je oude. Het hele systeem van afspraken en controles werkt vanouds vanuit het idee dat je op zoiets mag vertrouwen en dat als conficten daarover voor de rechter komen de drempel hoog is om daarover te liegen. Misschien gaat het ze bij de controle van een identiteitsbewijs niet om de absolute garanties die wij vanuit ons vakgebied gewend zijn na te streven, maar om een in onze ogen nogal nonchalante maatregel om risico's te verlagen.

Automatiseerders/ICT'ers zijn vanuit hun aard, en nog eens versterkt door hun vak, enorm gericht op het heel secuur zorgen dat iets precies zo werkt als het moet werken, en ze zijn er diep van doordrongen dat waar dingen grootschalig verwerkt worden dingen die misgaan ook makkelijk grootschalig misgaan, en dat het voorkomen daarvan vergaande en strikte maatregelen vereist. Het is niet voor niets dat mensen met autisme het zo goed doen in dat soort vakken, die hebben dat van nature. "Gewone" mensen denken vaak niet zo en zijn vaak nauwelijks of niet in staat om die manier van denken te bevatten. Die moeten door schade en schande en met veel herhaling leren dat al die handige dingen die moderne informatietechnologie biedt (waarvan ze de voordelen heel direct omarmen) ook risico's meebrengen en een heel secure manier van omgaan met die risico's vereisen.

What are they smoking? Ze leven in een andere werkelijkheid, daar hoeven ze niets voor te roken. En zij vragen zich op hun beurt af wat die rare techneuten roken, zonder te beseffen dat die nooit al dat gemak dat ze moeiteloos omarmen hadden kunnen opleveren zonder zo "raar" tegen de werkelijkheid aan te kijken.
28-07-2018, 13:32 door Krakatau
Door karma4:
Door Bitwiper: ..Hoe kan een scan van een identiteitsbewijs enige waarde hebben? ...
Je hebt gelijk. Het doel is te bewijzen dat de persoon voor je en het identiteitsbewjis bij elkaar horen en dat het om een valide identiteitsbewijs gaat.
Het eerste kan je proberen (nooit 100%) te bereiken door biometrie gezichtsherkenning vingerafdruk wat maar mogelijk en betrouwbaar is.
Het tweede kun je proberen door het aan een centrale database te koppelen of het nummer echt geldig is met de daarbij horende gegevens centraal en lokaal.

Al het andere zoals blokchain en "niemand mag weten wie je bent" is een faal in het niet erkennen van de genoemde eisen.

Je kan niet zonder meer blockchain technologie een 'faal' noemen in deze context. Er wordt wel degelijk gekeken naar hoe blockchain technologie een alternatief kan zijn voor centrale databases.

https://www.multichain.com/blog/2016/03/blockchains-vs-centralized-databases/
28-07-2018, 14:31 door karma4
Door Krakatau:
Je kan niet zonder meer blockchain technologie een 'faal' noemen in deze context. Er wordt wel degelijk gekeken naar hoe blockchain technologie een alternatief kan zijn voor centrale databases.

https://www.multichain.com/blog/2016/03/blockchains-vs-centralized-databases/
Natuurlijk moet je blockchain in die context van identiteitscontrole een faal noemen.
Kennelijk heb je niets begrepen van het "vermeend" verhaal. Ik weet dat er naar gekeken wordt maar dat betekent niet dat het daarom de "silver bullet" oplossing zou zijn. https://blog.xot.nl/2017/09/06/blockcerts-using-blokchain-for-identity-management-is-mostly-ridiculous/

Wat je nu ziet is dat bekende oude vraagstukken ineens opgelost zouden zijn door blockchain te roepen. De grote commerciëlen zoals Oracle en IBM en alle startups varen wel bij die projecten, die claimen wel het geld.
Zou nu het testen met productie data nu ineens wel mogen omdat er wat veldje in blockchain gepseudonimiseerd zijn?
Dat is een op zijn minst zeer ongeloofwaardig.
28-07-2018, 14:52 door Bitwiper
En dit nog los van het feit dat je eenvoudig vervalste paspoorten kunt kopen (zie bijv. [1]), en dat het nog veel simpeler is om een scan of foto (plaatje dus) van een echt paspoort te (laten) bewerken (zie bijv. [2] en punt 3 in [3]). Zelfs zonder blur (vervagen) zijn veel echtheidskenmerken niet terug te vinden in plaatjes van identiteitsbewijzen.

Ik heb het vaker geschreven, een kopie van een identiteitsbewijs is evenveel waard als een kopie van een bankbiljet (met bedrag naar keuze). Uitsluitend echte identiteitsbewijzen hebben waarde, en alleen indien een daartoe gekwalificeerd persoon de echtheid vaststelt en constateert dat de foto overeenkomt met het hoofd (fysiek aanwezig en vastzittend op een persoon in levenden lijve, die niet gedwongen wordt) van de betrokkene.

De fouten die de Nederlandse overheid m.i. maakt, zijn:
- Het vereisen dat sommige instanties voorheen fotokopiën, en tegenwoordig scans van identiteitsbewijzen maken en bewaren, waarvan ik vermoed weet dat een groot deel daarvan ondertussen in de cloud worden opgeslagen (zoals in personeelsdossiers van clubs als Raet) met vaak slechts 1FA voor toegang;
- Zij niet 100% duidelijk is over welke organisaties dat precies zijn door 2x het woord "bijvoorbeeld" te gebruiken in [4]:
[...]
Slechts enkele organisaties mogen een kopie van uw identiteitsbewijs maken. Uw werkgever en banken mogen dit bijvoorbeeld.
[...]
Slechts enkele organisaties zijn verplicht om een kopie van uw ID-kaart te vragen. Dit zijn bijvoorbeeld overheidsinstanties, banken, notarissen, casino’s en levensverzekeraars. Uw werkgever moet in de loonadministratie een kopie van uw ID-bewijs bewaren. En een bank voldoet zo aan de identificatieplicht. Het bedrijf of de organisatie moet u informeren over de wettelijke verplichting.
[...]
Een telecombedrijf mag uw legitimatiebewijs kopiëren of scannen, maar moet de pasfoto en het Burgerservicenummer (BSN) afschermen.
[...]
Sommige bedrijven en organisaties zijn wettelijk verplicht een aantal gegevens van uw identiteitsbewijs over te nemen. De school of uw zorgverlener bijvoorbeeld. En het hotel en de camping waar u wilt overnachten.
[...]
En voor details verwijst die pagins naar [5], maar daar kan ik ook geen harde whitelist en/of blacklist vinden. Dus: mag je überhaupt wel een kopietje-paspoort uploaden naar Telegram?
- Het niet expliciet verbieden of zelfs strafbaar stellen van het (laten) maken van een kopie van een identiteitsbewijs door andere organisaties (en welke zijn dat dan).

De veiligste en meest voor de hand liggende oplossing voor deze puinhoop voor de NL overheid gaf ik al: stop met organisaties verplichten om kopietje paspoort te maken en te bewaren, want dit suggereert iets zinvols (maar dat is het niet); daarmee frauderen is veel te eenvoudig. Laat in plaats daarvan, daartoe gekwalificeerde medewerkers van organisaties het identiteitsnummer overnemen en ondertekenen voor "gevalideerd" (ID-bewijs op echtheid gecontroleerd en overeenkomst met de eigenaar vastgesteld). En roep van de daken dat het bezit van en/of kunnen overleggen van een kopie van een identiteitsbewijs -net als het kennen van iemand's BSN- helemaal niets zegt over jouw identiteit.

[1] http://dutch.faithfreedom.org/forum/viewtopic.php?t=25208
[2] Google: modify passport scan image, bijv (via "Images"), o.a. een te bewerken NL paspoort kun je hier kopen voor "Use for verify account or remove limit paypal, ebay, facebook, amazon,...": http://www.idpsd.net/product/netherlands-passport-psd/
[3] http://www.passportscan.net/#workflow
[4] https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
[5] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs
28-07-2018, 15:28 door Bitwiper - Bijgewerkt: 28-07-2018, 15:29
@Anoniem 12:14: alleen een originele handtekening is wat waard, en vooral als deze in het bijzijn van getuigen zoals een notaris is gezet (en dus fysieke aanwezigheid is vereist). Los daarvan kunnen forensische handschriftexperts vaak (indien nodig) echte handtekeningen -met pen op papier gezet dus- van valse onderscheiden.

Is het niet zo dat notarissen, bij de feitelijke transactie, jouw identiteitsbewijs "live" controleren? Zo ja, als iedereen zou weten dat een kopietje paspoort geen authenticatiemiddel is, en notarissen dat alleen maar willen hebben om vooraf jouw typefoutloze gegevens te hebben, en te checken of "jouw" paspoort niet als verloren/gestolen staat geregistreerd, wat is dan het risico? En zodra jij komt tekenen, checken of jij bijbehorende originele ID-bewijs bij jou hebt?

Online authenticatie (zonder fysieke aanwezigheid) is enorm veel lastiger dan "live" authenticatie (met fysieke aanwezigheid), juist omdat de pakkans voor identiteitsfraudeurs zo klein is in veel landen (en zij niet bijv. langs camera's lopen die herkenning vergroten). Zodra er wat te "verdienen" valt, zullen cybercriminelen niet nalaten om in dat gat te springen.

Aangezien we nog geen veilig systeem hebben voor online authenticatie, dat ook nog eens privacy-vriendelijk is, ben je m.i. kinderlijk naiëf als je denkt dat je dit oplost door met kopietjes paspoort te strooien en krampachtig probeert BSN's geheim te houden.
28-07-2018, 16:39 door tristantj
ik hou ervan
28-07-2018, 18:57 door karma4 - Bijgewerkt: 28-07-2018, 18:58
Door Bitwiper: ..
De fouten die de Nederlandse overheid m.i. maakt, zijn:
- Het vereisen dat sommige instanties voorheen fotokopiën, en tegenwoordig scans van identiteitsbewijzen maken en bewaren, waarvan ik vermoed weet ...
- Zij niet 100% duidelijk is over welke organisaties dat precies zijn …
Niet het vereisen van het bewaren is het probleem maar het zien als het hebben van een kopie dat het die persoon geweest moet zijn is het probleem. Dat heb je uitstekend eerder hier beschreven.
Het hebben van die kopie bewijst niets of de werkelijke persoon enkel dat er geen fouten bij het overnemen van gegevens naar de administratie zijn gemaakt.

Bij het verwerken van een bsn is bepaald wabb artikel 18 dat er een duidelijk voor het publiek inzichtelijk register hoort te zijn wie het mogen verwerken en onder welke condities. Dat is lijkt me een taak voor BZK RVIG. Aangezien dat faalt is BZK RVIG onwettelijk bezig op dat punt. Een overheid die zich niet aan de eigen wetten houdt, dat is echt problematisch.


De veiligste en meest voor de hand liggende oplossing voor deze puinhoop voor de NL overheid gaf ik al: stop met organisaties verplichten om kopietje paspoort te maken en te bewaren, want dit suggereert iets zinvols (maar dat is het niet); daarmee frauderen is veel te eenvoudig. ….
Het BSN is enkel als het weten van een nummertje geen bewijs dat het de juiste persoon is. Ook daar hebben we een falend BZK RVIG die de gewenste controle mogelijk zou moeten maken.

De meest veilige en en voor de hand liggende oplossing is het BSN zien als waarvoor het bedoeld is. Een eenduidig klantnummer voor overheidszaken en wat de overheid aan derden oplegt. Voor de het bewijs (de authenticatie) kan je met een id bewijs werken mits je de daarbij horende faciliteiten beidt. Belgen en Esten zijn bekend voorbeelden waar dat al loopt.


Wat zegt het weten van een nummer? Laten we eens banknummers nemen. NL56 INGB 0705 0051 00 NL86INGB0002445588 ter info bron: https://www.cjib.nl/rekeningnummers of https://www.belastingdienst.nl/wps/wcm/connect/nl/betalenenontvangen/content/rekeningnummer_belastingdienst
Je hebt de naam en het nummer ik ben benieuw naar de hack van buitenaf. Nee fraude van binnenuit telt niet. Kun je met de enkel wetenschap van nummers en naam misbruik van die rekeningen maken?

#freethebsn.
28-07-2018, 22:44 door Anoniem
Nee ik gebruik dat soort opties nooit in een app,voor de telefoon.
Het is en blijft riskant die te gebruiken,ook al zijn ze encrypted.
29-07-2018, 09:05 door Anoniem
Door Bitwiper: @Anoniem 12:14: alleen een originele handtekening is wat waard, en vooral als deze in het bijzijn van getuigen zoals een notaris is gezet (en dus fysieke aanwezigheid is vereist). Los daarvan kunnen forensische handschriftexperts vaak (indien nodig) echte handtekeningen -met pen op papier gezet dus- van valse onderscheiden.
Er zijn zaken waarvoor je inderdaad fysiek aanwezig moet zijn, met identiteitsbewijs. Maar er zijn ook notariële diensten die online worden afgehandeld, zoals het doorhalen van een oude hypotheek. Bij dat soort dingen wordt wel om een kopie van je identiteitsbewijs per e-mail gevraagd. Ik heb trouwens zelfs bij het passeren van de verkoop van een huis meegemaakt dat de notaris vroeg vooraf een scan van mijn identiteitsbewijs per e-mail te sturen. Dat betekent niet dat ik het vervolgens niet meer bij me moest hebben en dat het echte document niet geïnspecteerd zou worden als ik dat had gedaan, maar het zegt wel iets over hoe men met technologie omgaat.

En er zijn natuurlijk zat handtekeningen die je plaatst zonder dat er een notaris aan te pas komt die wel degelijk juridische betekenis hebben.

Aangezien we nog geen veilig systeem hebben voor online authenticatie, dat ook nog eens privacy-vriendelijk is, ben je m.i. kinderlijk naiëf als je denkt dat je dit oplost door met kopietjes paspoort te strooien en krampachtig probeert BSN's geheim te houden.
Ik denk dat niet, voor alle duidelijkheid, ik gaf aan wat een enorm contrast in denken er is tussen verschillende groepen mensen, met de bedoeling erop te wijzen dat je dat niet zomaar even uitschakelt in een hele samenleving.
29-07-2018, 15:31 door Bitwiper
Door Anoniem: Maar er zijn ook notariële diensten die online worden afgehandeld, zoals het doorhalen van een oude hypotheek. Bij dat soort dingen wordt wel om een kopie van je identiteitsbewijs per e-mail gevraagd. Ik heb trouwens zelfs bij het passeren van de verkoop van een huis meegemaakt dat de notaris vroeg vooraf een scan van mijn identiteitsbewijs per e-mail te sturen. Dat betekent niet dat ik het vervolgens niet meer bij me moest hebben en dat het echte document niet geïnspecteerd zou worden als ik dat had gedaan, maar het zegt wel iets over hoe men met technologie omgaat.
Ik hoop en ga ervan uit dat als iemand in zo'n situatie achteraf bij de rechter bezwaar zou maken (it wasn't me) tegen deze vorm van "authenticatie" (want dat is het niet), die rechter dan geen spaan heel laat van die notaris. Waar hebben we die dure broederschap dan nog voor nodig? Als alles online kan, haal de wettelijke verplichting om die duurbetaalde monopolistenclub bij allerlei transacties en verklaringen te betrekken, er dan ook maar vanaf!

Door Anoniem: En er zijn natuurlijk zat handtekeningen die je plaatst zonder dat er een notaris aan te pas komt die wel degelijk juridische betekenis hebben.
Zoals een voorgedrukte handtekening van "Hans Visser", Gereral manager bij Zwitserleven, op een briefkaart (het lijkt mij dat er mensen zouden kunnen zijn die het niet nodig vinden dat postbodes en evt. medewerkers van sorteercentra weten waar zo iemand haar pensioen heeft, onder meer vanwege het spoofing/phishing risico dat ik verderop beschrijf) waarop onder meer staat:
Uw Jaarlijks Waardeoverzicht en Risicometingbrief staan voor u klaar op uw persoonlijke website! Ga naar zwitserleven.nl/mijndocumenten en log in met uw DigiD.

Off-topic: dat is sowieso totaal onveilig (http://zwitserleven.nl/ doet -correct- eerst een redirect naar https://zwitserleven.nl/ - maar die server stuurt geen HSTS header mee, waardoor de sessie op dat moment gekaapt kan worden, zelfs al heb je die site gisteren nog hebt bezocht. Als de verbinding niet gekaapt wordt, zal laatstgenoemde server jouw browser redirecten naar https://www.zwitserleven.nl/ - die wel een 1 jaar geldige HSTS header meestuurt, maar dat is natuurlijk te laat). Het was een stuk veiliger geweest (op de briefkaart i.p.v. een brief en het volgende punt na) als er had gestaan:
Ga naar https://zwitserleven.nl/mijndocumenten en log in met uw DigiD
en dan nog was het veiliger geweest als die site een HSTS header zou sturen, omdat je (als je die site binnen een jaar weer bezoekt) dan een certificaatfoutmelding (i.p.v. waarschuwing) krijgt - de je niet kunt wegklikken- als de verbinding gekaapt wordt.

Terug naar die handtekening: welke meerwaarde biedt die, of geeft deze juist een vals gevoel van veiligheid? Hoe moeilijk is het voor cybercriminelen om een identiek kaartje inclusief de handtekening van meneer Visser, maar met andere URL (bijv. mijn-zwitserleven.nl/mijndocumenten en/of met een ander TLD) in mijn brievenbus te gooien en mij zo mijn DigiD gegevens af te troggelen?

Dus ja, je hebt gelijk dat handtekeningen weinig tot geen waarde kunnen hebben (elke klant van Zwitserleven heeft nu een kopie van de handtekening van meneer Visser en kan die eenvoudig reproduceren), daarom is het juist zo belangrijk dat deze op elk relevant document met een pen worden gezet, bij voorkeur in het bijzijn van rechtsgeldige getuigen.

Door Anoniem:
Door Bitwiper: Aangezien we nog geen veilig systeem hebben voor online authenticatie, dat ook nog eens privacy-vriendelijk is, ben je m.i. kinderlijk naiëf als je denkt dat je dit oplost door met kopietjes paspoort te strooien en krampachtig probeert BSN's geheim te houden.
Ik denk dat niet, voor alle duidelijkheid, ik gaf aan wat een enorm contrast in denken er is tussen verschillende groepen mensen, met de bedoeling erop te wijzen dat je dat niet zomaar even uitschakelt in een hele samenleving.
Mijn excuses, ik zie nu dat je mijn tekst kunt lezen als dat ik jou kinderlijk naïef vind (ik had het nog fout gespeld ook), dat was niet mijn bedoeling - ik bedoel natuurlijk iedereen die suggereert dat een kopie van een identiteitsbewijs bruikbaar is voor authenticatie, waaronder Telegram.
29-07-2018, 20:24 door Anoniem
Banken zijn in wezen al bewaarders van een kopie van ons volledig paspoort.
Vertrouwen we onze bank wel? En waarom dan?
30-07-2018, 09:19 door Anoniem
What are they smoking?!

Hoe kan een scan van een identiteitsbewijs enige waarde hebben? Zodra instanties/organisaties (inclusief canpings, hotels en bed&breakfasts die een scan vereisen) zo'n plaatje in hun computer(s) hebben en een foute medewerker hebben of worden gehacked (en dat gebeurt vaak in die branche),

Je bedoelt een encrypted plaatje, waarbij je zelf de sleutel hebt om deze te kunnen decoderen ?

kunnen anderen zo'n plaatje naar hun Telegram uploaden en claimen dat zij jou zijn.

Zal moeilijk gaan, is encrypted garbage. Tenzij ze de encryptie weten te breken.
30-07-2018, 09:20 door Anoniem
Banken zijn in wezen al bewaarders van een kopie van ons volledig paspoort. Vertrouwen we onze bank wel? En waarom dan?

Reden #1: Banken hebben een enorm belang bij vertrouwen. Indien ze het vertrouwen van hun klanten beschadigen, dan is de kans groot dat men massaal overstapt naar concurrenten, wat een bank vele miljarden kan kosten.
30-07-2018, 13:18 door Anoniem
Interessante discussie.
Het belangrijkste ontbreekt: waarom zou je een kopie ID bij Telegram onderbrengen?
30-07-2018, 14:13 door Anoniem
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs . Gewoon de app downloaden en pas gebruiken als een kopie nodig is!
30-07-2018, 16:01 door Bitwiper
Door Anoniem:
What are they smoking?!

Hoe kan een scan van een identiteitsbewijs enige waarde hebben? Zodra instanties/organisaties (inclusief canpings, hotels en bed&breakfasts die een scan vereisen) zo'n plaatje in hun computer(s) hebben en een foute medewerker hebben of worden gehacked (en dat gebeurt vaak in die branche),

Je bedoelt een encrypted plaatje, waarbij je zelf de sleutel hebt om deze te kunnen decoderen ?
Ik heb er heel weinig bezwaar tegen om een scan van mijn paspoort te versleutelen, de sleutel zelf te houden en de versleutelde data naar Telegram te uploaden. Maar ik heb geen idee waarom ik dat zou willen (integendeel, Telegram heeft er niets aan, het kost hen opslagruimte en als ik heel veel pech heb, kunnen ze de versleuteling breken).

Ik geloof dan ook niet dat jij snapt wat de bedoeling is: dat lijkt het doorsturen van jouw paspoortplaatje vanuit jouw Telegram account naar een derde partij te zijn. Omdat ook die derde partij niks aan een encrypted blob heeft, zal jouw wachtwoord op de een of andere manier bij die derde partij terecht moeten komen om jouw paspoortscan te kunnen bekijken. Los van of het uitwisselen van een wachtwoord met die derde partij veilig gebeurt of niet, kan die derde partij zich daarna voordoen als mij. Ik wil ik dus niet dat derde partijen een scan van mijn paspoort als authenticatie gebruiken. Want zodra zo'n scan (al dan niet per ongeluk) gelekt wordt, kan iedereen zich bij dat soort partijen voordoen als mij.

Overigens staat er in de Telegram blog:
Protected by End-to-End Encryption

Your identity documents and personal data will be stored in the Telegram cloud using End-to-End Encryption. It is encrypted with a password that only you know, so Telegram has no access to the data you store in your Telegram passport. When you share data, it goes directly to the recipient.
Met End-to-End encryption wordt normaal gesproken bedoeld dat je iets uitwisselt via een beveiligde verbinding. Als Telegram hiermee bedoelt dat zij het eindpunt zijn van die verbinding, is jouw paspoortscan daar dus onversleuteld. Maar de tekst daarna suggereert dat er iets anders bedoeld wordt dan End-to-End encryption:
It is encrypted with a password that only you know, so Telegram has no access to the data you store in your Telegram passport. When you share data, it goes directly to the recipient.
Waarom zou je iets bij Telegram (versleuteld) opslaan als het direct naar de ontvanger gaat? M.a.w. waarom zou je niet zelf data (zoals een paspoortscan) direct naar ontvangers sturen?

Het enige dat ik kan bedenken, is dat Telegram een hash van jouw versleutelde paspoortscan maakt, waarmee een ontvanger kan controleren dat de versleutelde scan die zij ontvangen, dezelfde is als die jij bij Telegram hebt opgeslagen. Maar het ontgaat mij welk voordeel dat zou bieden (integendeel, je kunt dan het wachtwoord van jouw paspoortscan niet wijzigen, wat aan te raden is als je een wachtwoord hebt gedeeld met een derde partij (voor wat dat waard is, want die derde partij heeft dan sowieso jouw onversleutelde paspoortscan in haar bezit).

Maar nogmaals, ik wil helemaal geen scan van mijn paspoort delen, want dan zou ik het concept ondersteunen dat een bitmap plaatje volstaat voor authenticatie, wat complete crap is. En het feit dat Telegram dit, op welke wijze dan ook, faciliteert stelt mij teleur.
12-08-2018, 09:10 door Krakatau - Bijgewerkt: 12-08-2018, 09:10
Telegram heeft weer eens zelf crypto geïmplementeerd... Met als gevolg onnodige kwetsbaarheden:

https://virgilsecurity.com/telegram-passport-vulnerability/
29-08-2018, 10:36 door Anoniem
30-07-2018, 14:13 door Anoniem
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs . Gewoon de app downloaden en pas gebruiken als een kopie nodig is!

Heel toepasselijk! : verouderd
Dit hieronder is het antwoord van Rijksoverheid:

'Niet gevonden
De pagina die u heeft opgevraagd is niet gevonden.
U kunt de informatie die u zoekt mogelijk vinden via de homepage, de zoekpagina of de sitemap.
• Homepage Rijksoverheid.nl
• Zoeken
• Sitemap
Archief
Deze website verwijdert regelmatig verouderde informatie. Het is daarom mogelijk dat de pagina die u zoekt niet meer bestaat op deze site.
Zoekt u informatie die in het verleden op deze site stond? Gebruik dan ons archief.
• Archief Rijksoverheid.nl
• Lees meer over de werking van het archief
Foutcode: 404'
29-08-2018, 21:01 door Anoniem
@Vandaag, 10:36 door Anoniem
Dit werkt wel (dus zonder het puntje achteraan in de link)
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.